开源CMS TYPO3中存在XSS漏洞

admin
admin
admin
138635
文章
114
评论
2022年10月8日14:23:57评论61 views字数 1001阅读3分20秒阅读模式

开源CMS TYPO3中存在XSS漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


易受攻击的开源内容管理系统 (CMS) TYPO3的维护人员修复了位于软件更新中的一个跨站点脚本 (XSS)漏洞。

本周二,GitHhub发布安全公告指出,由于上游包masterminds/html5中存在一个解析问题,导致PHP包typo3/html-sanitizer的XSS机制被绕过, “具有特殊HTML注释的序列中所使用的恶意标记无法被过滤和清理。”

该漏洞已在typo3/cms-core 的7.6.58、8.7.48、9.5.37、10.4.32和11.5.16版本中修复。在此之前的所有版本均受影响。

由于需要用户交互,因此该漏洞被评为“中危”等级,CVSS评分为6.1。尽管如此,尽管TYPO3的市场份额一般,但所代表的活跃安装量非常庞大。该开源CMS在1997年推出,所占的CMS市场份额为2.43%,即客户超过23万人,其中46%位于德国。

TYPO3协会目前拥有900名左右成员,通过捐赠和会员资格订阅的方式支持开发。

该漏洞由安全研究员 David Klein发现,补丁由TYPO3安全团队主管和核心开发人员 Oliver Hader开发。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com








推荐阅读

美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全
Apache开源项目 Xalan-J 整数截断可导致任意代码执行
CSRF防御机制反被CSRF误,csurf 开源NPM包被弃
黑客马拉松助力雅虎发现数百个Vespa 开源引擎工具的漏洞
谷歌推出开源软件漏洞奖励计划,提振软件供应链安全
Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多



原文链接

https://portswigger.net/daily-swig/open-source-cms-typo3-tackles-xss-vulnerability


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




开源CMS TYPO3中存在XSS漏洞
开源CMS TYPO3中存在XSS漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   开源CMS TYPO3中存在XSS漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):开源CMS TYPO3中存在XSS漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月8日14:23:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   开源CMS TYPO3中存在XSS漏洞https://cn-sec.com/archives/1300304.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息